Was ist Phishing? – Häufige Arten am Beispiel einfach erklärt
Phishing stellt in der heutigen Zeit einen de facto Standard für den Beginn von Angriffen dar, sei es zugeschnitten auf ein Unternehmen, ein Drive-by-Angriff oder auch eine allgemeine Kampagne, die möglichst viele Unternehmen treffen soll. Genauso gut von Phishing sind jedoch auch bestimmte Personen betroffen, sei es durch QR-Codes oder durch SMS-Nachrichten. Welche Phishingarten am häufigsten genutzt werden, erfahren Sie in diesem Beitrag.
Phishing Definition:
Phishing ist eine betrügerische Methode, bei der Angreifer sich als vertrauenswürdige Quelle ausgeben, um sensible Informationen wie Passwörter oder Finanzdaten von Personen oder Unternehmen zu stehlen.
E-Mail-Phishing
Die wohl bekannteste Art des Phishings ist das E-Mail-Phishing. Oft geben sie vor, von legitimen Unternehmen, von Banken, Ärzten oder anderen Entitäten zu kommen, die entweder einen mehr oder minder validen Grund angeben für die Kommunikation, wie beispielsweise eine nicht beglichene Rechnung.
Worauf sollten Sie bei E-Mail-Phishing achten? Nur in den wenigsten Fällen sind die Absenderadressen legitime E-Mails, sondern eher Wegwerfmails oder ähnlich geschriebene Mail-Adressen, welche den Anschein geben, sie seien vom legitimen Absender versendet worden, wie beispielsweise eine Bank oder ein Unternehmen, welche mit einer Zahlungsaufforderung auf sie zukommen.
Zweck der Methode ist es, den Benutzer dazu aufzufordern, eine Interaktion durchzuführen, wie das Klicken auf einen Link oder das Öffnen eines Anhangs. Dies ist bei allen der nachfolgenden Arten des Phishings der Fall.
Spear-Phishing
Spear-Phishing agiert ähnlich wie E-Mail-Phishing und erfolgt meist über E-Mails. Es kann jedoch auch über SMS oder andere Kommunikationsarten geschehen. Dabei geht es nicht um das verwendete Medium, sondern vielmehr um die Art der Aufmachung. Dabei enthält eine Spear-Phishing-E-Mail beispielsweise sehr zugeschnittene Informationen, die spezifisch auf eine Person oder auf ein Unternehmen zugeschnitten sind.
Hierzu gehört für den Angreifer oft ein größerer Rechercheaufwand, um besser auf die Person gegenüber einzugehen. Ziel dabei ist es, diese Informationen zu nutzen, um den Benutzer dazu aufzufordern, unübliche Aktionen durchzuführen, wie das Organisieren von Gutscheinkarten.
Whaling
Whaling ist eine Art des Spear-Phishings, welche auf höherrangige Mitarbeiter von Unternehmen abzielt, um einen größeren finanziellen Gewinn durch den Angriff zu erwirtschaften. Dabei tritt häufig die Forderung von Überweisungen, Freigabe von Zahlungsmitteln etc. auf.
Solche E-Mails, sofern erfolgreich eine Freigabe für eine Zahlung erhalten wurde, werden dann in einigen Fällen von Angreifern an darunterliegende Abteilungen verteilt. Dies geschieht, um den Prozess zusätzlich zu beschleunigen und zu verhindern, dass Mitarbeiter Verdacht schöpfen und die E-Mail an die dafür vorgesehenen Stellen melden.
Smishing (SMS-Phishing)
Smishing ist eine Variante, die per SMS erfolgt und Nutzer dazu bewegt, auf Links zu klicken oder Nummern anzurufen, was zu Social-Engineering-Angriffen führen kann. Bekannte Beispiele umfassen:
- Amazon- oder DHL-Lieferungsinformationen
- Nachrichten, die vorgeben, das Kind des Empfängers zu sein, mit Bitten um Geld oder Kontaktaufnahme über WhatsApp
Diese Phishing-Nachrichten können zu teuren Anrufen aus dem Ausland führen, bekannt als Vishing.
Vishing (Voice-Phishing)
Unter Vishing versteht man eben genau dies. Durch Anrufe über WhatsApp oder andere Medien, lassen sich für den Angerufenen oft hohe Kosten verursachen, die dem Angreifer einen finanziellen Gewinn ermöglichen. Solche Angriffe treten häufig auf, wenn Telefonnummern bei anderen Angriffen abhandenkommen oder durch einen Folgeangriff einer Smishing-Attacke.
Dabei sollte stets darauf geachtet werden, dass Anrufe von unbekannten Nummern nicht angenommen werden und nicht auf solche Angriffe wie Smishing reagiert werden sollten. Besonders auffällig sind Telefonnummern aus dem Ausland, also vergewissern Sie sich immer, ob die Nummern Ihnen bekannt sind.
Clone-Phishing
Clone-Phishing ist eine Variante des E-Mail-Phishings, bei der vorhandene Informationen geringfügig geändert werden, um Benutzer zum Klicken auf Links oder Öffnen von Anhängen zu bewegen. Wichtige Hinweise:
- Änderung von Empfängerkonten in Zahlungsaufforderungen
- Kombination mit Whaling-Angriffen zur Beschleunigung von Transaktionen
- Überprüfung von Transaktionsinformationen und telefonische Verifizierung sind wichtig, um Betrug, wie CEO-Fraud, zu vermeiden.
CEO-Fraud
Bei CEO-Fraud gibt der Angreifer vor, CEO eines Unternehmens zu sein. Es handelt sich hierbei um eine Abwandlung des Whalings. Ebenfalls kann es sich um eine andere Führungskraft handeln. Dadurch sollen Zahlungsaufforderungen schneller durchgeführt werden oder eben durch plötzliche oder auch unübliche Anfragen zu Zahlungen, eben diese Zahlungsmittel freigegeben werden.
Dabei steht oft im Fokus dieser E-Mails oder Textnachrichten die Dringlichkeit dieser Aufgaben, wie beispielsweise das Organisieren von Geschenkkarten. Oftmals sind diese E-Mails oder Aufforderungen mit sprachlichen sowie inhaltlichen Fehlern gefüllt und in schlechter oder unverständlicher Sprache verfasst. Auch solche Aufgaben sollten bestmöglich persönlich durch einen CEO bzw. eine Führungskraft bestätigt werden bzw. hinterfragt werden, bevor sie darauf eingehen.
Pharming
Bei Pharming handelt es sich um die Manipulation von DNS-Einträgen, wodurch legitime Internetseiten durch gefälschte ersetzt werden und den Nutzer dadurch dazu auffordern soll, auf dieser Seite Anmeldeinformationen einzugeben.
Vorbeugend sollten Benutzer immer die URL einer Seite überprüfen, um sicherzustellen, besonders bei der Eingabe von Benutzernamen und Kennwörtern, dass es sich um die tatsächliche Seite handelt. Ebenso kann es auffällig sein, wenn Zertifikate nicht richtig geladen werden oder bei dem Aufruf einer Seite eine Warnmeldung erscheint. All diese Faktoren, sollten keinesfalls ignoriert, sondern ernstgenommen werden, um einen Betrug zu verhindern.
Quishing (QR-Code-Phishing)
Eine relativ neue, aber mittlerweile weit verbreitete Methode des Phishing ist das Quishing, dabei werden mittlerweile über legitime QR-Codes Aufkleber von gefälschten QR-Codes angebracht, um den Benutzer auf eine gefälschte Seite zu leiten.
Oftmals finden sich diese QR-Codes auch auf Ladesäulen für Elektroautos sowie in Restaurants für WLAN oder auch auf Plakaten, um eine größere Masse an Menschen dazu zu bewegen, auf den Link bzw. die gefälschte Seite zu klicken.
Es sollte stets darauf geachtet werden, wo diese QR-Codes herstammen sowie beim Aufruf der Seite eine Überprüfung der URL durchgeführt werden, um einen möglichen Betrug mittels QR-Codes vorzubeugen.
Angler-Phishing
Bei Angler-Phishing handelt es sich um eine Methode, die über Social Media durchgeführt wird. Dabei reagieren Angreifer mittels gefälschter Accounts auf Kundendienst-Anfragen und geben sich für legitime Seiten bzw. Benutzer aus.
Dies soll den Benutzer ebenfalls dazu verleiten auf nicht-legitime Seiten zu klicken, bzw. persönliche oder gar vertrauliche Informationen preiszugeben. Es sollte immer geprüft werden, ob es sich bei den Accounts um legitime Accounts handelt. Besonders auf Social-Media-Plattformen sollten keine persönlichen Informationen preisgegeben werden. Diese sollten besonders hier vertraulich bleiben, um nicht nur die Sicherheit der sensiblen Daten, sondern auch der eigenen Person zu gewährleisten.
Phishing-Gefahren: Wie sich Unternehmen und Privatpersonen schützen können
Bei all diesen Varianten handelt es sich um zunehmend bessere Arten der Manipulation und des Betruges. Dementsprechend sollte der bewusste Umgang und die Auseinandersetzung mit dieser Thematik nicht nur von Unternehmen gestärkt, sondern auch durch Awareness-Schulungen durchgeführt werden.
Phishing kann nicht nur zur Kompromittierung oder zum finanziellen Verlust für Unternehmen führen, sondern auch für Privatpersonen, dies sollten Nutzer immer im Hinterkopf behalten und sich mit der Sicherheit ihrer Daten auseinandersetzen.
FAQ
Welche Arten von Phishing-Angriffen gibt es?
Es gibt verschiedene Arten von Phishing:
- E-Mail-Phishing
- Spear-Phishing
- Whaling
- Smishing
- Vishing
- Clone-Phishing
- Pharming
- Quishing
- Angler-Phishing
Jede Methode zielt darauf ab, Benutzer zur Preisgabe sensibler Informationen zu verleiten.
Wie kann man sich vor Phishing-Attacken schützen?
Um sich zu schützen, sollten Sie keine Links oder Anhänge aus unbekannten Quellen öffnen und immer die URL von Webseiten überprüfen. Bewahren Sie Wachsamkeit bei ungewöhnlichen Anfragen und nutzen Sie Sicherheitssoftware sowie regelmäßige Schulungen zur Erkennung von Phishing-Versuchen.
Was sind die häufigsten Ziele von Phishing?
Phishing-Betrug zielt oft auf Finanzdaten, Anmeldeinformationen und persönliche Informationen ab, um Zugang zu Konten zu erlangen oder finanzielle Transaktionen durchzuführen. Unternehmen und Privatpersonen sind gleichermaßen betroffen, da Angreifer sowohl auf große finanzielle Gewinne als auch auf persönliche Daten aus sind.
Weitere spannende Beiträge
-
- Bedrohungen
- Phishing
Spear-Phishing: Gefahren und Schutzmaßnahmen im Überblick
Im Rahmen der fortschreitenden Digitalisierung stellt Spear-Phishing eine ernsthafte Bedrohung dar. Diese gezielten Angriffe betreffen sowohl Einzelpersonen als auch Unternehmen und können erhebliche Schäden anrichten. Doch was genau ist Spear-Phishing und wie können Sie sich davor schützen? Dieser Beitrag beleuchtet die Mechanismen hinter Spear-Phishing, zeigt die Risiken auf und bietet Lösungen, um sich effektiv zu […]
-
- Bedrohungen
- Phishing
Phishing-Simulation: Alles zum Mitarbeiter Awareness Training
Phishing-Simulationen können ein guter Bestandteil von Awareness sowie Prävention sein. Sie bieten eine gute Grundlage für den sicheren Umgang der Mitarbeiter mit Daten und Kommunikation. Warum Phishing-Simulationen eine gute Idee sind und wie man an diese herantreten kann, dazu mehr im nachfolgenden Text. Phishing-Simulationen Definition:Phishing-Simulationen sind gezielte, kontrollierte Tests in Form von gefälschten E-Mails oder […]
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Head of IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de